Czy dyrektywa NIS2 zablokuje prace nad reformą KSC?

Rozporządzenie władz Walonii było niezgodne z przepisami zmienionymi dyrektywą 91/156/EWG. Pomimo, że rozporządzenie to miało zostać wydane przed upływem okresu transpozycji dyrektywy 91/156, trybunał orzekł, że w okresie wyznaczonym w dyrektywie na jej wykonanie (transpozycję) państwo członkowskie, do którego jest ona skierowana, powinno powstrzymać się od przyjmowania jakichkolwiek przepisów, które mogłyby poważnie zagrozić osiągnięciu rezultatu przewidzianego w tej dyrektywie. Wymaga tego „zasada lojalności”.

Jakie okoliczności mogą poważnie zagrozić osiągnięciu rezultatu przewidzianego w dyrektywie? Z linii orzeczniczej zapoczątkowanej ww. wyrokiem[5] wynika, że mogą to być przepisy regulujące stosunki umowne (por. wyrok w sprawie C-212/04 Adeneler i in.) oraz przepisy nakładające ciężar ponoszenia pewnych kosztów na inny podmiot, niż wymagała tego dyrektywa (por. wyrok w sprawie C-181/20 VYSOČINA WIND). Podobny problem powstałby, gdyby nowelizacja KSC weszła w życie i obowiązki spoczywające na PT miałyby kształt odmienny od kształtu przewidzianego w dyrektywie, która już weszła w życie.

Jeszcze wyraźniej widoczna jest niezgodność rozwiązań HRV z ww. linią orzeczniczą. Gdyby doszło do wydania decyzji HRV na podstawie przepisów ujętych w nowelizacji KSC, skutki tej decyzji byłyby wyjątkowo trudne do odwrócenia. Doszłoby bowiem do stopniowego wycofywania z użytkowania określonych typów sprzętu i oprogramowania pochodzącego od dostawcy HRV (art. 66b KSC), przez szeroki katalog podmiotów funkcjonujących na rynku (wskazany na początku artykułu).

Dostawca wysokiego ryzyka (HRV) – skutki decyzji

Uznanie dostawcy za dostawcę HRV, przewidziane w nowelizacji KSC, jest niezgodne z NIS2. Przede wszystkim zarówno NIS2, jak i przywoływany przez prawodawcę dokument 5G Toolbox[6], opierają się na zasadzie, że podstawową rolę w zarzadzaniu ryzykiem gra ten podmiot, który na własne potrzeby tym ryzykiem zarządza. Powinien on analizować rodzaje ryzyka wskazane w NIS2, a następnie, dopiero w razie kontroli, właściwy organ będzie mógł ocenić wdrożone zasady i procedury oraz zażądać wprowadzenia zmian. Jednym z ryzyk, które należy analizować, jest ryzyko związane z dostawcami. Ryzyka mogą wynikać – z jednej strony – z uzależnienia od jednego dostawcy, a z drugiej – z „nadmiernego” wpływu władz państwa trzeciego na dostawcę, związanego z ukrytymi podatnościami czy tzw. backdoorami oraz potencjalnym zakłóceniem łańcuchów dostaw. Ostatecznie jednak to sam podmiot zobowiązany do zarządzania ryzykiem powinien podejmować decyzje wynikające z tego, że pewien dostawca obciążony jest różnymi rodzajami ryzyka. Decyzje odpowiednie dla własnej organizacji.

HRV w nowelizacji KSC opiera się na innej konstrukcji: gdy właściwy minister uzna dostawcę za HRV, wówczas wszystkie podmioty KSC oraz PT zobowiązani do tworzenia planu działań w sytuacjach szczególnych zagrożeń powinni stopniowo rezygnować z użytkowania typów sprzętu i oprogramowania, ujętych w decyzji HRV.

Niezgodne z NIS2 jest w tym przypadku podjęcie decyzji za wszystkie podmioty KSC oraz za część PT na raz.

Tak skonstruowana decyzja z natury rzeczy nie bierze pod uwagę konkretnych okoliczności danego przypadku – danego podmiotu i rozwiązań stosowanych w jego konkretnej sieci. Takiego zindywidualizowanego (czyli zarazem także i proporcjonalnego) podejścia wymaga NIS2.

Co więcej, NIS2 wychodzi z założenia, że potrzebny jest wyższy poziom koordynacji działań na poziomie unijnym. Dotyczy to zarówno ujawniania odkrytych podatności, jak i szacowania ryzyka, które powinno mieć nie tylko skoordynowany charakter, lecz również powinno dotyczyć wyłącznie krytycznych łańcuchów dostaw.

PRZYPISY

[5] C-129/96 Inter-Environnement Wallonie przeciwko Region Wallonne; C-212/04 Adeneler i in.; C-104/14 Federconsorzi i Liquidazione giudiziale dei beni ceduti ai creditori della Federconsorzi; C-181/20 VYSOČINA WIND

[6] Cybersecurity of 5G networks. EU Toolbox of risk mitigating measures, NIS Cooperation Group, 01/2020